Cinobi Banking Trojan va a caccia di utenti in Giappone

Il Cinobi Banking Trojan ha fatto le sue prime mosse nel 2020, quando i suoi operatori hanno seguito gli utenti in Giappone. Sorprendentemente, hanno fortemente limitato la portata del Trojan basandosi su una serie di due exploit, che funzionavano solo su Microsoft Internet Explorer. Tuttavia, sembra che il Cinobi Banking Trojan sia tornato ancora una volta, e questa volta il gruppo dietro di esso sembra esplorare nuove tecniche, strumenti ed exploit.

La recente campagna si basa molto sull'ingegneria sociale e sul malvertising per fornire il pericoloso carico utile. Alcuni dei contenuti falsi che i criminali utilizzano per diffondere il Cinobi Banking Trojan includono giochi pornografici gratuiti, programmi di punti premio falsi e app relative allo streaming video. Naturalmente, gli innovativi vettori di infezione hanno rapidamente aumentato il numero di vittime di Cinobi Banking Trojan. Un altro cambiamento in questa nuova operazione è che non si rivolgono solo alle istituzioni finanziarie tradizionali. Questa volta, i criminali stanno usando Cinobi per cercare di rubare anche account di criptovaluta.

I siti Trojan Banking Cinobi filtrano gli IP non giapponesi

È importante aggiungere che la campagna si rivolge ancora una volta esclusivamente agli utenti giapponesi. Tutti i siti che ospitano il payload hanno impostato un filtro IP. Per questo motivo, gli indirizzi IP non giapponesi vedranno un messaggio di errore se fanno clic su una delle pubblicità dannose. Complessivamente, il Cinobi Banking Trojan supporta 11 istituzioni finanziarie giapponesi, tre delle quali attive anche nel campo delle criptovalute.

Una volta che una vittima è stata infettata, Cinobi inizierà a lavorare in background per monitorare l'attività online dell'utente. Se rileva che la vittima tenta di accedere a uno dei portali finanziari online presi di mira dal Trojan, il payload procederà a prendere qualsiasi cosa inserita nel modulo di accesso del sito web. I dati vengono archiviati in una cartella nascosta e contiene il sito Web, la data, il nome utente, la password, l'ID di sessione e altre informazioni.

Mentre la maggior parte dei moderni trojan bancari prende di mira Android, incontriamo ancora minacce compatibili con Windows come Cinobi. Questi attacchi sono molto pericolosi, perché gli utenti potrebbero non avere idea che le loro credenziali di accesso vengano dirottate dai criminali informatici. Si accorgeranno solo che c'è qualcosa di sbagliato quando iniziano le transazioni fraudolente. Dovresti adottare misure preventive per impedire a minacce come il Cinobi Trojan di raggiungere il tuo dispositivo. Utilizza un'applicazione antivirus aggiornata e fai attenzione anche quando interagisci con siti e file sconosciuti. Non scaricare mai app e programmi di installazione da fonti non affidabili.